Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configuration de la variable SNORT_BPF sur un Centre de défense

Options de téléchargement

  • PDF     (165.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (115.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (91.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:25 juillet 2014
ID du document:118090

Langage sans préjugés

Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Vous pouvez utiliser le filtre de paquets Berkeley (BPF) pour empêcher un hôte ou un réseau d'être inspecté par un centre de défense. Snort utilise la variable Snort_BPF pour exclure le trafic d'une stratégie d'intrusion. Ce document fournit des instructions sur l'utilisation de la variable Snort_BPF dans différents scénarios.

Astuce : Il est fortement recommandé d'utiliser une règle d'approbation dans une stratégie de contrôle d'accès pour déterminer le trafic qui est et n'est pas inspecté, plutôt qu'un BPF dans la stratégie d'intrusion. La variable Snort_BPF est disponible sur la version 5.2 du logiciel et est déconseillée sur la version 5.3 ou ultérieure du logiciel.

Conditions préalables

Conditions requises

Cisco vous recommande d'avoir des connaissances sur les règles Defense Center, Intrusion Policy, Berkeley Packet Filter et Snort.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Centre de défense
  • Logiciel version 5.2 

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configuration Steps

Afin de configurer la variable Snort_BPF, procédez comme suit :
  1. Accédez à l'interface utilisateur Web de votre Centre de défense.
  2. Accédez à Politiques > Intrusion > Intrusion Policy.
  3. Cliquez sur l'icône crayon pour modifier votre stratégie d'intrusion.
  4. Cliquez sur Variables dans le menu de gauche.
  5. Une fois les variables configurées, vous devez enregistrer les modifications et réappliquer votre stratégie d'intrusion pour qu'elle prenne effet.


Figure : Capture d'écran de la page de configuration des variables Snort_BPF

Exemples de configuration

Voici quelques exemples de base :

 

Scénario 1 : Ignorer tout le trafic, A et A d'un analyseur de vulnérabilité

  1. Nous avons un analyseur de vulnérabilité à l'adresse IP 10.1.1.1 
  2. Nous voulons ignorer tout le trafic à destination et en provenance du scanner 
  3. Le trafic peut ou non avoir une balise 802.1q (vlan) 
Le SNORT_BPF est : 
  
not host 10.1.1.1 and not (vlan and host 10.1.1.1)
COMPARAISON : le trafic *n’est pas* étiqueté VLAN, mais les points 1 et 2 restent vrais seraient les suivants :   
not host 10.1.1.1
En anglais simple, ceci ignorerait le trafic où l'un des points de terminaison est 10.1.1.1 (le scanneur).
 

 

Scénario 2 : Ignorer tout le trafic, TO et FROM deux scanners de vulnérabilité

 
  1. Nous avons un analyseur de vulnérabilité à l'adresse IP 10.1.1.1 
  2. Nous avons un deuxième analyseur de vulnérabilité à l'adresse IP 10.2.1.1 
  3. Nous voulons ignorer tout le trafic à destination et en provenance du scanner 
  4. Le trafic peut ou non avoir une balise 802.11 (vlan) 
Le SNORT_BPF est : 
  
not (host 10.1.1.1 or host 10.2.1.1) and not (vlan and (host 10.1.1.1 or host 10.2.1.1))
Comparaison : Le trafic *n’est pas* étiqueté VLAN, mais les points 1 et 2 restent vrais seraient les suivants :   
not (host 10.1.1.1 or host 10.2.1.1)
En résumé, ceci ignorerait le trafic où l'un des points d'extrémité est 10.1.1.1 OU 10.2.1.1.

Note: Il est important de noter que la balise vlan doit, dans presque tous les cas, se produire une seule fois dans un BPF donné. La seule fois où vous devriez le voir plus d'une fois, est si votre réseau utilise l'étiquetage de VLAN imbriqué (parfois appelé 'QinQ').

 

Scénario 3 : Ignorer le trafic étiqueté VLAN, TO et FROM deux scanners de vulnérabilité

  1. Nous avons un analyseur de vulnérabilité à l'adresse IP 10.1.1.1 
  2. Nous avons un deuxième analyseur de vulnérabilité à l'adresse IP 10.2.1.1
  3. Nous voulons ignorer tout le trafic à destination et en provenance du scanner 
  4. Le trafic est étiqueté 802.11 (vlan) et vous souhaitez utiliser une balise (vlan) spécifique, comme dans le vlan 101

Le SNORT_BPF est :

not (host 10.1.1.1 or host 10.2.1.1) and not (vlan 101 and (10.1.1.1 or host 10.2.1.1))

 

Scénario 4 : Ignorer le trafic d'un serveur de sauvegarde

 
  1. Nous avons un serveur de sauvegarde réseau à l'adresse IP 10.1.1.1
  2. Les machines du réseau se connectent à ce serveur sur le port 8080 pour exécuter leur sauvegarde de nuit
  3. Nous souhaitons ignorer ce trafic de sauvegarde, car il est chiffré et volumineux
Le SNORT_BPF est : 
  
not (dst host 10.1.1.1 and dst port 8080) and not (vlan and (dst host 10.1.1.1 
and dst port 8080))
  Comparaison : Le trafic *n’est pas* étiqueté VLAN, mais les points 1 et 2 restent vrais seraient les suivants :   
not (dst host 10.1.1.1 and dst port 8080)

Traduit, cela signifie que le trafic vers 10.1.1.1 (notre serveur de sauvegarde hypothétique) sur le port 8080 (port d'écoute) ne doit pas être inspecté par le moteur de détection IPS.

  Il est également possible d'utiliser net à la place de l'hôte pour spécifier un bloc réseau, plutôt qu'un seul hôte.  Exemple :

 
not net 10.1.1.0/24

En règle générale, il est recommandé de rendre le cadre de programmation de pays le plus spécifique possible ; exclure le trafic de l'inspection qui doit être exclue, sans exclure tout trafic non lié qui pourrait contenir des tentatives d'exploitation.

 

Scénario 5 : Pour utiliser des plages de réseau plutôt que des hôtes individuels

 

Vous pouvez spécifier des plages réseau dans la variable BPF plutôt que des hôtes pour raccourcir la longueur de la variable. Pour ce faire, vous utiliserez le mot clé net à la place de host et spécifierez une plage CIDR. Voici un exemple :

not (dst net 10.8.0.0/16 and dst port 8080) and not (vlan and (dst net 10.8.0.0/16
and dst port 8080))

Note: Assurez-vous de saisir l'adresse réseau en utilisant la notation CIDR et une adresse utilisable dans l'espace d'adressage de bloc CIDR. Par exemple, utilisez net 10.8.0.0/16  plutôt que net 10.8.2.16/16.

Les SNORT_BPF est utilisée afin d'empêcher que certains trafics ne soient inspectés par un moteur de détection IPS ; souvent pour des raisons de rendement. Cette variable utilise le format standard Berkeley Pack Filters (BPF). Trafic correspondant au SNORT_BPF variable sera inspectée ; tandis que le trafic NE correspond PAS à SNORT_BPF ne sera PAS inspecté par le moteur de détection IPS.

Historique de révision

Révision Date de publication Commentaires
1.0
25-Jul-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Nazmul Rajib, Jeremy Weiss
    Cisco TAC Engineers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits